根据Palo Alto Networks Unit 42的最新发现，北美洲和亚洲的大学及政府机构在2024年11月至12月期间遭受了一种名为Auto-Color的Linux系统恶意软件攻击。

“一旦安装，Auto-Color允许威胁行为者完全远程访问受感染的机器，这使得在没有专用软件的情况下很难移除它，”安全研究员Alex Armstrong在对该恶意软件的技术说明中表示。

Auto-Color的工作原理与攻击目标

Auto-Color的命名源自初始有效载荷在安装后重命名的文件名。目前尚不清楚它是如何到达其目标的，但已知的是它需要受害者在他们的Linux机器上显式运行它。

该恶意软件的一个显著特点是它用来逃避检测的诸多技巧。这包括使用看似无害的文件名（如door或egg），隐藏命令和控制（C2）连接，以及利用专有加密算法来掩盖通信和配置信息。

一旦以root权限启动，它会安装一个名为“libcext.so.2”的恶意库，将自己复制并重命名为/var/log/cross/auto-color，并修改“/etc/ld.preload”以确保在主机上持久存在。

“如果当前用户没有root权限，恶意软件将不会继续在系统上安装逃避检测的库，”Armstrong说。“它会在后续阶段尽可能多地执行操作，而不依赖这个库。”

Auto-Color的高级功能与自我保护机制

该库能够被动地hook libc中使用的函数，以拦截open()系统调用，并通过修改“/proc/net/tcp”来隐藏C2通信，该文件包含所有活动网络连接的信息。类似的策略也被另一个名为Symbiote的Linux恶意软件所采用。

它还通过保护“/etc/ld.preload”防止进一步修改或删除，从而阻止恶意软件的卸载。

Auto-Color随后会联系C2服务器，授予操作者生成反向shell、收集系统信息、创建或修改文件、运行程序、将机器用作远程IP地址与特定目标IP地址之间的通信代理，甚至通过kill开关自行卸载的能力。

“在执行时，恶意软件试图从命令服务器接收远程指令，该服务器可以在受害者的系统上创建反向shell后门，”Armstrong表示。“威胁行为者使用专有算法分别编译和加密每个命令服务器的IP。”

参考来源：

New Linux Malware ‘Auto-Color’ Grants Hackers Full Remote Access to Compromised Systems